Programa Integral de Gestión de Datos Personales – PIGDP
Documento: D-COM-005 Versión: 3.0 Fecha: 13-01-2024
CSP DE COLOMBIA LTDA y STEEL CITY LTDA (En adelante LAS EMPRESAS) en cumplimiento con lo dispuesto en la Constitución Política de Colombia en su artículo 15, así como en la Ley 1266 de 2008 y la Ley Estatutaria 1581 de 2012, el Congreso de la República dictó disposiciones generales para la protección de datos personales, ley que fue reglamentada por los Decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015), entre otras.
Garantiza de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data de todos los titulares de la información de carácter personal, de la cual sea responsable o encargada de su tratamiento, asimismo velará en todo momento por los derechos fundamentales a la intimidad, el buen nombre y la privacidad de las personas físicas.
LAS EMPRESAS adoptan los principios fundamentales de protección de datos mediante la presente Política de tratamiento de datos personales; y desarrolla su cumplimiento a traves del Manual interno de procedimientos de Protección de Datos personales, donde se definen y establecen los parámetros y reglas específicas para garantizar el correcto tratamiento de la información contenida en las bases de datos de la organización.
Establecer lineamientos y criterios claros sobre el Tratamiento de los Datos Personales, con el fin de garantizar el derecho de todas las personas naturales a conocer, actualizar y rectificar sus datos personales almacenados por LAS EMPRESAS, así como suprimirlos en los casos en que sea procedente y revocar la autorización de tratamiento.
Comunicar a los grupos de interés con las que LAS EMPRESAS tienen relaciones comerciales y contractuales, sobre los derechos establecidos en Ley 1581 de 2012; informarles las finalidades y el uso que dará a su información personal dentro del desarrollo del objeto social del negocio.
Fomentar una cultura de protección de datos, promoviendo la conciencia y capacitación continua en los empleados de la empresa, en especial en aquellos involucrados en el Tratamiento de Datos Personales.
LAS EMPRESAS como Responsables efectuará un Tratamiento apropiado de Datos Personales en el desarrollo de las actividades de las EMPRESAS; el Tratamiento abarca la recolección, almacenamiento, circulación, actualización, archivo y supresión de los Datos Personales necesarios para la ejecución de las operaciones misionales, administrativas y de control organizacional establecidas por la ley, incluyendo las actividades asignadas a Encargados del tratamiento de los Datos Personales.
Garantizar la confidencialidad, integridad y disponibilidad de la información; el cumplimiento de los principios de Responsabilidad Demostrada [Accountability] y demás normas aplicables en materia de protección de datos personales. El tratamiento que realicen LAS EMPRESAS se basará en la autorización otorgada por el titular y tomará en cuenta las finalidades expresamente informadas.
LAS EMPRESAS podrán efectuar el tratamiento de datos personales de forma conjunta con las compañías bajo situación de control que pertenezcan o llegaren a pertenecer a CORPAC STEEL PRODUCTS CORP, o a quien represente sus derechos u ostente en el futuro cualquier calidad frente a los titulares de la información. Son parte de ellas, las que pertenezcan o puedan llegar a pertenecer al Grupo de acuerdo con la ley, sus filiales y/o subsidiarias, o las compañías que directa o indirectamente, tenga participación accionaria o sean asociados, domiciliadas en Colombia y/o en el exterior.
Artículo 3°. Ley 1581 de 2012 y Decreto 1377 de 2013.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Datos sensibles: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
La presente política, está dirigida a nuestros empleados, clientes, proveedores, contratistas y terceros, administradores y en general a los grupos de interés sobre los cuales LAS EMPRESAS realizan tratamiento de información personal.
Esta política es de obligatorio y estricto cumplimiento para LAS EMPRESAS como responsable y encargado del tratamiento de los datos personales; por los proveedores y terceros que a quienes se encargue el tratamiento de datos personales de LAS EMPRESAS, con el fin de respetar todos los derechos y garantías en cuanto a privacidad de los titulares sobre los que tenemos datos personales y cumplir las disposiciones de ley.
El responsable y encargado del tratamiento de datos personales es:
CSP DE COLOMBIA LTDA., legalmente constituida en Colombia, identificada con el NIT: NIT 900.517.378.
Con domicilio en el Km 7 variante Malambo Caracolí en el departamento del ATLANTICO, Colombia.
Página web: www.cspgroup.com,
correo electrónico oficial.privacidad@t360.com.co y;
Teléfono (605)3610441.
STEEL CITY LTDA., legalmente constituida en Colombia, identificada con el NIT: NIT 900.491.107
Con domicilio en el Km 7 variante Malambo Caracolí en el departamento del ATLANTICO, Colombia.
Página web: www.cspgroup.com,
correo electrónico official.privacidad@t360.com.co y;
Teléfono (605)3610441.
Lo anterior, toda vez que LAS EMPRESAS recaudan la información y toma las decisiones sobre el tratamiento de los datos personales.
Aviso de Privacidad: Es el documento donde LAS EMPRESAS le comunica [física, virtual o cualquier otro formato] al titular del dato, que le será aplicada la Política de Tratamiento de Datos Personales.
El Oficial de Protección de Datos Personales es el responsable de la atención y tramite de peticiones, quejas y reclamos de los titulares de datos personales para el ejercicio de los derechos. Este Rol ha sido designado por la Gerencia General al Oficial de Cumplimiento Normativo de LAS EMPRESAS.
Los siguientes principios constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales:
a) Principio de legalidad en materia de tratamiento de datos: El Tratamiento de datos derivado de esta política es una actividad reglada y autorizada legalmente, suscrita a las disposiciones de la Ley 1581 de 2012 y las demás normas que la desarrollen, modifiquen o sustituyan.
b) Principio de finalidad: El Tratamiento corresponde y se encuentra limitado a perseguir las finalidades informadas en esta Política y en las respectivas autorizaciones, de carácter legítimo de acuerdo con la Constitución y las Leyes en Colombia.
c) Principio de libertad: LAS EMPRESAS garantizan que solicitará autorización y consentimiento, previo, expreso e informado del Titular, para el tratamiento de los datos personales. Así mismo, puede tratar y ceder los datos personales que se encuentren almacenados en sus bases de datos, sin el previo consentimiento del titular, siempre y cuando, estos provengan de registros públicos, o que, si bien no están contenidos en ellos, sean de naturaleza pública o se encuentran en bases de datos excluidas por la Ley.
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: LAS EMPRESAS garantizan el derecho del Titular de obtener en cualquier momento y sin restricciones, información acerca de la existencia y el tratamiento de los datos personales al titular o sus causahabientes.
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones legales y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley; Los datos personales, salvo la información pública, no estarán disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados;
g) Principio de seguridad: La información sujeta a Tratamiento por LAS EMPRESAS y/o Encargado cuentan con medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación laboral , comercial/contractual con LAS EMPRESAS. pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. Todas las personas que trabajen actualmente o sean vinculadas a futuro para tal efecto, en la administración y manejo de bases de datos, deberán suscribir un documento adicional a su contrato laboral para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
7.1 DATOS SENSIBLES
Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
7.1.1 TRATAMIENTO
Para el Tratamiento de Datos Sensibles LAS EMPRESAS informará al titular lo siguiente:
1. El tratamiento de este tipo de información el titular no se encuentra obligado a dar su autorización o consentimiento.
2. Se informará de forma explícita y previa al titular que tipo de datos sensibles serán solicitados;
3. Se comunicará cuáles de los datos que serán objeto de tratamiento sensibles y la finalidad de este.
4. La autorización de los datos sensibles será previa, expresa y clara.
LAS EMPRESAS solo podrán realizar el tratamiento de estos siempre y cuando:
a. El titular haya dado su autorización explícita a este, salvo en los casos que por ley no sea requerido el otorgamiento de una autorización.
b. Sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, se deberá otorgar su autorización.
c. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
d. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento se adoptan las medidas conducentes a la supresión de identidad de los titulares.
7.2 AUTORIZACIÓN ESPECIAL DE DATOS PERSONALES SENSIBLES
Las EMPRESAS informan a todos sus titulares que en virtud de la ley 1581 del 2012 y el decreto reglamentario 1074 de 2015 no se está obligado a otorgar la autorización para el tratamiento de datos sensibles.
7.2.1 DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES(NNA)
Cuando se trate de la recolección y tratamiento de datos de niños, niñas y adolescentes se cumplirán los siguientes requisitos:
a. La autorización será otorgada por personas que estén facultadas para representar los NNA. El representante de los NNA deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta la madurez, autonomía y capacidad de los NNA para entender el asunto.
b. Informará que es voluntario responder preguntas sobre datos de los NNA.
c. El tratamiento respetará el interés superior de los NNA y asegurará sus derechos fundamentales. Se informará explícita y previamente cuáles de los datos que serán objeto de tratamiento y la finalidad de este.
d. Cuando la información sea requerida por un tercero, será necesaria la autorización escrita de los representantes o tutores de los menores.
7.2.3 DATOS POR VIDEOS DE VIGILANCIA
LAS EMPRESAS utilizan cámaras de video vigilancia para la seguridad física de sus instalaciones; por tanto, toda captación, grabación, transmisión, almacenamiento, conservación o reproducción en tiempo real o posterior, en donde los datos personales permitan identificar o identifiquen a personas naturales, serán consideradas actividades de tratamiento de datos personales, y están sujetas a la Ley 1581 de 2012; en los procedimientos de seguridad de la información se determina la duración de la tenencia de estos datos.
Contamos con el aviso de privacidad en cada uno de los lugares que son vigilados y monitoreados internamente. Toda vez que la regulación reconoce esta práctica como autorización.
7.3 AUTORIZACIÓN PREVIA PARA EL TRATAMIENTO
Las EMPRESAS solo recolecta y trata datos personales con autorización previa de su titular y siempre que sean necesarios, pertinentes y adecuados para la finalidad para la que se recogen. Para ello, se cuentan con distintos medios para obtener su autorización de manera previa expresa e informada, ya sea oral, escrita o mediante conductas inequívocas.
Esta autorización se solicita al titular, a más tardar, en el momento de la recolección de sus datos personales. LAS EMPRESAS conservarán el soporte de la autorización obtenida conforme a lo dispuesto en la Ley 1581 de 2012 y demás normas vigentes.
Está prohibido efectuar -por parte de LAS EMPRESAS, sus áreas, proveedores y empleados que tengan acceso a la información- tratamiento alguno de los datos personales de los titulares sin contar con su autorización, salvo en los casos establecidos en el artículo 2 de la Ley 1581 de 2012: establece las siguientes excepciones al régimen de protección de datos personales:
a. Las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control, del lavado de activos y el financiamiento del terrorismo.
b. Las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
c. Las bases de datos y archivos de información periodística y otros contenidos editoriales.
d. Las bases de datos y archivos regulados por la Ley 1266 de 2008.
e. Las bases de datos y archivos regulados por la Ley 79 de 1993.
Las EMPRESAS podrán tratar datos personales sin previa autorización del titular en todos los casos en que estos sean de naturaleza pública y en los casos señalados en el artículo 10 de la Ley 1581 de 2012.
a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b. Datos de naturaleza pública;
c. Casos de urgencia médica o sanitaria;
d. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e. Datos relacionados con el Registro Civil de las Personas.
Cuando se trate de información que se relacione con los siguientes tipos de datos, se tendrán las siguientes consideraciones especiales:
7.4 ALCANCE TEMPORAL AUTORIZACIONES OTORGADAS POR TITULARES
Por regla general, el término de las autorizaciones sobre el uso de los datos personales se entiende por el término de la relación comercial o de la vinculación a la compañía y mientras se encuentre vigente el desarrollo del objeto social de las compañías.
Si el titular de Datos personales es un cliente activo de LAS EMPRESAS, no se podrán usar sus datos para objetivo diferente a la prestación del producto o servicio y para el ofrecimiento de renovaciones posteriores cuando el servicio tenga esta modalidad
Conforme a la ley 1591 de 2012 y en las autorizaciones otorgadas por los titulares de la información. El tratamiento al que serán sometidos los datos personales de los titulares, recolectados o capturados por las EMPRESAS a través de medios, físicos, electrónicos y virtuales con la información personal y según el tipo de base de datos que se trate es la de recolectar, almacenar, tratar, usar, custodiar, archivar, recopilar, consultar, analizar, verificar, reportar, suministrar, suprimir, compartir, transmitir y transferir; serán usados para la operación y registro dentro de las funciones y finalidades aquí regladas.
El tratamiento de datos solo se llevará a cabo para los propósitos establecidos en la presente política, las autorizaciones específicas otorgadas por el titular y las responsabilidades que efectúan LAS EMPRESAS. Se identificará la información personal necesaria para cumplir con las funciones misionales establecidas en el artículo 10 de la Ley 1581 de 2012.
Cuando sea necesario por ley o contrato, se tratarán los datos personales de acuerdo con las políticas establecidas en las políticas de seguridad de la información.
1. Ejecutar el objeto social de LAS EMPRESAS.
2. Informar y gestionar las relaciones con los titulares, lo que incluye el registro y la actualización de datos y llevar a cabo controles administrativos y todo tipo de tramites, en especial solicitudes, quejas y reclamos.
3. Socializar y comunicar información general de eventos adelantados por LAS EMPRESAS a traves de medios de comunicación y formas que se consideren adecuadas.
4. Envío de correos electrónicos, mensajes de textos, con comunicaciones, campañas presenciales, virtuales e invitaciones de interés para los titulares relacionados con LAS EMPRESAS, tales como, divulgaciones, entrenamientos, capitaciones y formación, inducciones, reinducciones, charlas y otros; comunicados internos de índole particular y las relacionadas con los sistemas de gestión; invitación a eventos, ofrecimiento de productos, envío de comunicaciones a clientes.
5. Brindar programas de bienestar, promoción y prevención a los empleados; ejecutar actividades de índole empresarial para el titular (en caso de empleados) y sus beneficiarios tales como hijos, cónyuge, compañero permanente, entre otros.
6. Manejo de la información personal de contratistas para las gestiones de seguridad y salud en el trabajo, relacionadas trabajos y actividades desarrolladas para LAS EMPRESAS, siempre que ello sea estrictamente necesario.
7. Cumplir las obligaciones legales vigentes en Colombia, en ejercicio de las actividades administrativas, facturación, aclaraciones y cobros de obligaciones sobre los productos y servicios suministrados, actividades comerciales de atención, asistencia técnica comercial y de satisfacción del cliente.
8. Dar cumplimiento de las obligaciones contraídas con los empleados, con relación al pago de remuneraciones, salarios, prestaciones sociales y demás derivadas de un contrato y/o de la legislación vigente; aplicación de evaluaciones de responsabilidades y de reportes de desempeño de laboral.
9. Los datos personales de menores son tratados para dar cumplimiento a las obligaciones legales pertinentes. (en caso de empleados “custodios o causahabientes”).
10. Catalogar y ordenar la información suministrada por el titular de los datos; realizar un archivo de actualización de los sistemas de protección y custodia de información y bases de datos con finalidades históricas y estadísticas.
11. La información recolectada por medios de grabación y biométricos se utilizará con fines de control, acceso y seguridad de empleados, espacios físicos, los activos y la trazabilidad de índole administrativa, pudiendo ser empleada también como medio de prueba idóneo en cualquier evento litigioso ante cualquier autoridad judicial y administrativa.
12. Monitorear por video vigilancia las instalaciones físicas de las instalaciones de LAS EMPRESAS para prevenir y mitigar riesgos de seguridad.
13. Capturar imágenes o cualquier registro de video permita soportar y respaldar eventos y actividades realizadas por LAS EMPRESAS en cumplimiento de sus deberes y compromisos.
14. Publicar el directorio corporativo y gestionar tarjetas de presentación corporativas con la finalidad de contacto de los empleados.
15. Tratar datos de contacto personal útiles, estableciendo medidas de seguridad de la información, para proteger los recursos informáticos, electrónicos y digitales de LAS EMPRESAS, salvaguardar el acceso a cuentas de correo y software corporativo. Tales como: número de teléfono móvil, correo electrónico personal – Autenticación de dos Fases -.
16. Dar trámite a las normas aplicables a proveedores, contratistas, empleados, que impliquen una comunicación o solicitud de información, dentro del marco del derecho común, como: normas contables y tributarias, comerciales, laborales, de seguridad social, reportes financieros y de gestión, cálculo, presentación y pago de impuestos, obligaciones tributarias, otros registros comerciales, societarios, y reportes de cumplimiento. Esta información puede incluir datos personales de Administradores y Socios de LAS EMPRESAS.
17. Transmitir y/o transferir los datos personales tratados a terceros ubicados en Colombia o fuera del país, con quienes LAS EMPRESAS haya suscrito o suscribiere un contrato de procesamiento de datos para la debida operación organizacional y sea necesario entregársela para el cumplimiento de ese objeto contractual; para almacenarlos de forma segura en cumplimiento de las finalidades enunciadas en esta Política. En alguna circunstancia LAS EMPRESAS podrán transmitir o transferir los datos personales a países que no proveen un nivel adecuado de protección de datos de acuerdo con la normatividad colombiana; cuando sea necesario para el cumplimiento de las obligaciones a cargo de LAS EMPRESAS. El titular al suministrar sus datos personales autoriza a LAS EMPRESAS a realizar la transmisión o transferencia de los mismos.
18. Desarrollar estrategias y estudios de expansión de mercado, realización de campañas comerciales y de mercadeo, analítica de datos a través de tecnologías disponibles para tal fin.
19. En caso de aspirantes en procesos de contratación de empleados, los datos personales tratados serán para tramitar la selección y evaluación del candidato, estos podrán ser realizados de forma física directa, traves de canales virtuales dispuestos para tal fin o con terceros; las hojas de vida se gestionarán garantizando el principio de acceso restringido.
20. Efectuar actividades de control y prevención de actividades ilícitas y las obligaciones legales del Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo, Financiamiento de la proliferación de Armas de Destrucción Masiva – LAFT/FPADM (SAGRILAFT); El Programa de Transparencia y Ética Empresarial (PTEE). Tales como:
a. Realizar el conocimiento y debida diligencia de contrapartes u otros procesos internos para el manejo de interacciones con estas, aplicación de los procedimientos de selección, identificación, aceptación y registro de contrapartes en las bases de datos de LAS EMPRESAS.
b. La consulta de los titulares en listas vinculantes para la prevención del riesgo de LAFT/FPADM, fraude, corrupción soborno transnacional y otros sistemas de administración de riesgos según aplique.
c. Llevar a cabo investigaciones, comparar, verificar y validar los datos que obtenga en debida forma con centrales de riesgo crediticio con las que se tengan relaciones comerciales.
d. Verificar la información personal entregada por los titulares con bases de datos públicas, referencias y contactos suministrados para establecer de manera segura las relaciones comerciales y contractuales entre las partes.
e. Realizar monitoreo y seguimiento a LAS EMPRESAS a traves auditorías internas y externas propias del objeto social que desarrolla, permitiendo el acceso a los datos personales a los auditores o terceros contratados.
f. Proporcionar los datos personales a entes de vigilancia y control y otros interesados en cumplimiento de la Ley de Transparencia y Ética Empresarial, la policía y judiciales nacionales e internacionales, en virtud de un requerimiento legal o reglamentario y/o usar o revelar esta información y datos personales en defensa de los derechos y/o de la propiedad de LAS EMPRESAS de sus empleados, proveedores, clientes y administradores para la detección o prevención de fraude y para la prevención, detección, aprehensión o persecución de actos criminales.
21. Las demás finalidades que requieran LAS EMPRESAS dentro del alcance de su objeto social y de acuerdo con la ley; estas se especificaran en las respectivas autorizaciones otorgadas por cada uno de los Titulares.
Durante la ejecución de labores administrativas, LAS EMPRESAS podrá realizar transferencia o transmisión nacional o internacional de datos personales, para el desarrollo y cumplimiento de sus actividades. Por tanto, ha adoptado lineamientos y controles sobre relación con terceros, con el fin de proteger la información objeto de esta actividad. Tales como: (i) verifica el nivel de los estándares de protección y seguridad del país receptor de la información personal; (ii) Realiza la declaración de conformidad (cuando aplique) y (iii) Suscribe acuerdo/contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia.
El titular acepta esta política y faculta expresamente a LAS EMPRESAS para transferir la información, obligándose ésta a mantener la confidencialidad y adoptando los mecanismos necesarios para que terceros que la reciben, la usen exclusivamente las finalidades previamente pactadas con LAS EMPRESAS, sin que pueda ser usada para otros fines.
LAS EMPREASAS podrán intercambiar información personal con el gobierno u otras autoridades (judiciales, administrativas, fiscales y organismos de investigación penal, civil, disciplinaria, entre otras). Además, con terceros involucrados en proceso judiciales y civiles, auditores, y demás aliados en cuanto sea necesario para cumplimiento legal.
Los Titulares de los datos personales registrados en las Bases de Datos de los responsables de tratamiento, tienen los siguientes derechos.
a. Conocer, actualizar y rectificar sus datos personales. Estos derechos los podrán ejercer, entre otros, frente a datos personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado por el.
b. Solicitar prueba de la autorización otorgada al responsable salvo cuando se exceptúe expresamente como requisito para el tratamiento.
c. Ser informado por el responsable o el encargado del tratamiento, previa solicitud, respecto del uso que se ha dado a sus datos personales.
d. Acceder en forma gratuita a los datos proporcionados que hayan sido objeto de tratamiento.
e. Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
f. Solicitar al responsable la revocatoria la autorización y/o la supresión de sus datos personales en los siguientes casos:
1. Cuando considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley.
2. Cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
3. Cuando se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.
g. Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas, niños y adolescentes.
Los titulares, sus causahabientes o cualquier otra persona con un interés legítimo, que considere que la información contenida en alguna de las bases de datos de LAS EMPRESAS deba ser objeto de corrección, actualización o supresión o que adviertan un posible incumplimiento de los deberes establecidos en la Ley 1581 de 2012 y sus decretos reglamentarios, podrán presentar un reclamo siguiendo con los requisitos del artículo 15 de la misma ley.
Para la radicación y atención de reclamos le solicitamos suministrar como mínimo la siguiente información:
1. Nombres y apellidos del titular y/o su representante y/o causahabientes.
2. Dirección física, electrónica y teléfono de contacto.
3. Medios para recibir respuesta a la solicitud.
4. Motivo(s)/hecho(s) que dan lugar a la consulta o reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información.
5. Firma (si aplica) y número de identificación.
6. Copia del documento de identidad del titular y/o su representante y/o causahabientes.
En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitara al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.
Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que LAS EMPRESAS reciban un reclamo dirigido a otra organización, darán traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.
Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles contados desde la recepción, LAS EMPRESAS incluirán en la base de datos donde se encuentren los datos personales del Titular, una leyenda que diga “reclamo en trámite” y el motivo de este. Dicha leyenda deberá mantenerse hasta que el reclamo sea atendido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
En caso de resultar procedente la supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, LAS EMPRESAS, realizan operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.
12.1 SUPRESIÓN Y REVOCATORIA DATOS PERSONALES
Los Titulares podrán en todo momento y cuando consideren que los datos no están recibiendo un tratamiento adecuado, o los mismos no son pertinentes o necesarios para la finalidad para la cual fueron recolectados, solicitar la supresión total o parcial de los datos personales autorizados, mediante la presentación de una solicitud por escrito.
No obstante, la solicitud de supresión de datos no procederá cuando el titular tenga un deber legal o contractual de permanecer en la base de datos que administran LAS EMPRESAS o la supresión de los datos represente un impedimento en actuaciones administrativas o judiciales relacionadas a obligaciones fiscales, investigación de delitos o actualización de sanciones administrativas
Para solicitar la revocatoria de la autorización de sus datos personales, LAS EMPRESAS analizará el requerimiento realizado y comunicará al titular si esta revocatoria procede.
LAS EMPRESAS como responsable del tratamiento de los datos personales de los titulares de la información asume los siguientes deberes:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;
c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
e. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
h. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;
i. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
j. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
k. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
l. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
m. Informar a solicitud del Titular sobre el uso dado a sus datos;
n. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
o. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
En virtud de las relaciones contractuales, pueden existir personas naturales o jurídicas que administren las bases de datos personales por encargo de LAS EMPRESAS; situación en la que se validará el cumplimiento de las normas relativas al Tratamientos de Datos Personales y se suscribirá un acuerdo para compartir y tratar bases de datos personales, asumiendo las obligaciones que como ENCARGADO dispone la ley en la materia.
Los Encargados y en caso en el LAS EMPRESAS actúen en calidad de encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones que la ley establezca y demás normas sobre el particular.
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley;
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley;
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
g) Registrar en la base de datos las leyendas “reclamo en trámite” en la forma en que se regula en la ley;
h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Los titulares o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley y demás normas que la desarrollan, podrán presentar un reclamo que será tramitado bajo el siguiente procedimiento.
Las consultas que traten sobre temas de acceso a la información, constancias de la autorización otorgada por el titular, usos y finalidades de la información personal, o cualquier otra consulta relacionada con la información personal entregada por parte del titular, deberán presentarse a traves los canales de comunicación y atención habilitados a los titulares de los datos personales para el ejercicio de sus derechos a conocer, actualizar, rectificar y/o suprimir, su información personal, son los siguientes:
El Oficial de Cumplimiento Normativo de LAS EMPRESAS, es quien le dará trámite en los términos, plazos y condiciones establecidos en la presente política. Las solicitudes recibidas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.
En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la que en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
La presente política de tratamiento de datos personales rige a partir de 03 septiembre de 2018 la fecha de su publicación y su vigencia será indefinida según el termino estipulado en la Cámara de Comercio de Barranquilla para el desarrollo del objeto social de LAS EMPRESAS y se encontraran a disposición de los titulares en la página web: www.cspgroup.com
El periodo de vigencia de las bases de datos será el mismo al tiempo en que se mantenga y utilice la información para para el desarrollo del objeto social de cada una de LAS EMPRESAS.
Una vez se cumpla esa finalidad y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos. Otros períodos de permanencia de los datos en la base de datos serán:
Esta Política se mantendrá actualizada y su contenido será revisado periódicamente para asegurar su cumplimiento con las disposiciones legales y normativas vigentes; así como nuevas prácticas que se desarrollen al interior de LAS EMPRESAS.
Los cambios y sus actualizaciones se comunicarán de forma oportuna a los titulares de los datos a través de nuestro sitio web https://cspgroup.com/ o en cualquier otro medio pertinente, indicando la fecha de entrada en vigencia de la actualización efectuada.
EDUARDO TREJO.
Gerente General.
CSP DE COLOMBIA LTDA
MLADENS SEKULITS
Representante Legal Suplente
STEEL CITY LTDA.